#ParsedReport #CompletenessLow
09-11-2024

VEEAM exploit seen used again with a new ransomware: "Frag"

https://news.sophos.com/en-us/2024/11/08/veeam-exploit-seen-used-again-with-a-new-ransomware-frag

Report completeness: Low

Actors/Campaigns:
Stac_5881

Threats:
Frag_ransomware
Fog_ransomware
Akira_ransomware

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam backup & replication (<12.2.0.334)


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1106

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в выявлении и анализе нового варианта программы-вымогателя под названием "Frag", связанного с хакерским кластером STAC 5881, который использует уязвимость в серверах резервного копирования Veeam. В тексте рассказывается о тактике, используемой хакером, сходстве с другими вариантами программ-вымогателей, такими как Akira и Fog, а также о важности упреждающих мер кибербезопасности в ответ на возникающие угрозы в сфере кибербезопасности.
-----

Компания Sophos X-Ops недавно сообщила о многочисленных случаях управляемого обнаружения и реагирования (MDR), связанных с использованием хакерами уязвимости в серверах резервного копирования Veeam. Уязвимость, идентифицированная как CVE-2024-40711, была использована кластером активности угроз с пометкой STAC 5881. Эти атаки в основном были нацелены на скомпрометированные устройства VPN для получения доступа, используя уязвимость Veeam для создания новой учетной записи локального администратора с именем "point". Некоторые случаи в этом кластере привели к развертыванию программ-вымогателей Akira или Fog. Вирус Akira, который был впервые обнаружен в 2023 году, с середины октября проявляет признаки бездействия, а его сайт по утечке информации теперь отключен. С другой стороны, программа-вымогатель Fog дебютировала ранее в этом году, впервые обнаруженная в мае.

Недавний инцидент с кибербезопасностью выявил новый вариант программы-вымогателя под названием "Frag", связанный с тактикой кластера угроз STAC 5881. Хакер, стоящий за Frag, использовал взломанное VPN-устройство для проникновения в целевую среду, воспользовался уязвимостью Veeam и создал две новые учетные записи, "point" и "point2". Программа-вымогатель Frag запускается с помощью командной строки, позволяя злоумышленнику указать параметры шифрования, такие как процент шифрования файлов и целевые каталоги или отдельные файлы. Зашифрованные файлы помечаются символом .расширение frag. К счастью, в ходе описанного инцидента система Sophos endpoint protection предотвратила распространение программы-вымогателя Frag с помощью функции CryptoGuard. Кроме того, был встроен механизм обнаружения двоичного кода программы-вымогателя.

Agger Labs отметила сходство тактики, методов и процедур, используемых злоумышленником Frag, с операторами программ-вымогателей Akira и Fog. Это наблюдение указывает на потенциальную связь между Frag и ранее выявленными группами угроз. Sophos X-Ops активно отслеживает появление новой программы-вымогателя, которая, как предполагается, имеет сходство с группой программ-вымогателей Akira. Ведется непрерывный мониторинг поведения этих угроз, и мы стремимся предоставлять обновленную техническую информацию по мере поступления новой информации.

Меняющийся ландшафт угроз указывает на наличие постоянного и изощренного противника, использующего известные уязвимости в критически важной инфраструктуре, что подчеркивает необходимость принятия упреждающих мер кибербезопасности и надежных механизмов защиты. Поскольку хакеры постоянно совершенствуют свою тактику и внедряют новые варианты вредоносных программ, организации должны сохранять бдительность, повышать уровень своей безопасности и быть в курсе возникающих киберугроз, чтобы эффективно снижать потенциальные риски. Следите за дальнейшими разработками и подробным техническим анализом в рамках текущего расследования в области кибербезопасности.

#ParsedReport #CompletenessHigh
09-11-2024

Silent Skimmer Gets Loud (Again)

https://unit42.paloaltonetworks.com/silent-skimmer-latest-campaign

Report completeness: High

Actors/Campaigns:
Silent_skimmer (motivation: financially_motivated)
Blackcat

Threats:
Godpotato_tool
Ringq_tool
Netstat_tool
Lolbin_technique
Qvm250_tool
Putty_tool
Cobalt_strike
Blackcat

Geo:
Apac, America, Emea, Japan

CVEs:
CVE-2017-11317 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (le2016.3.1027, 2017.2.503, 2017.2.621)

CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui for asp.net ajax (le2020.1.114)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1068, T1190, T1027, T1566.001, T1105, T1213, T1107, T1140

IOCs:
Path: 6
Registry: 1
Command: 2
Url: 6
File: 5
Hash: 29
Domain: 1
IP: 15

Soft:
ASP.NET, Windows Defender, PyInstaller

Algorithms:
sha256, base64

Languages:
powershell, python

Links:
https://github.com/fatedier/frp
have more...
https://github.com/BeichenDream/GodPotato
https://github.com/editso/fuso

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что хакер взломал веб-серверы, принадлежащие многонациональной организации, базирующейся в Северной Америке, используя различные сложные методы и инструменты для осуществления своей вредоносной деятельности. Для борьбы с такими угрозами Palo Alto Networks рекомендует использовать свои службы безопасности и подчеркивает важность своевременного устранения уязвимостей и соблюдения мер кибербезопасности. Организациям рекомендуется использовать передовые решения в области безопасности и обмениваться информацией об угрозах для усиления мер кибербезопасности и защиты от постоянных угроз.
-----

В конце мая 2024 года исследователи Unit 42 обнаружили злоумышленника, который скомпрометировал несколько веб-серверов, принадлежащих многонациональной организации, базирующейся в Северной Америке. Действия хакера были приписаны тому же субъекту, который стоял за кампанией Silent Skimmer, проводившейся в сентябре 2023 года и нацеленной на организации, занимающиеся платежной инфраструктурой. Для борьбы с такими угрозами Palo Alto Networks рекомендует своим клиентам использовать различные службы безопасности, такие как Cortex XDR, XSIAM и Advanced Threat Prevention.

Хакер воспользовался такими уязвимостями, как CVE-2017-11317 и CVE-2019-18935, для достижения своих целей. Они использовали инструменты туннелирования и обратного прокси, такие как Fuso и FRP, для доступа к скомпрометированным серверам в Интернет, что способствовало дальнейшим атакам. GodPotato использовался для повышения привилегий, выполняя команды PowerShell, чтобы избежать обнаружения защитником Windows.

Хакер использовал сборки в смешанном режиме для встраивания в них собственного кода на C++.Двоичные файлы NET, что затрудняло инструментам анализа выявление вредоносной полезной нагрузки. Используя такие методы, как создание двоичных файлов-оболочек .NET, злоумышленники смогли незаметно выполнить вредоносный код. Кроме того, хакер использовал загрузчик RingQ, который автоматически шифрует и загружает двоичные файлы, помогая скрытно выполнять вредоносную полезную нагрузку.

Получив доступ к серверам с помощью уязвимостей Telerik, хакер установил постоянство, развернув веб-оболочки и обратные оболочки PowerShell с разных IP-адресов. Они использовали такие методы, как выполнение VBScript и команды PowerShell в кодировке Base64, для поддержания контроля над скомпрометированными системами. Примечательно, что было обнаружено сходство между этой деятельностью и предыдущими инцидентами, связанными с амбициозной программой-вымогателем Scorpius.

Ключевым открытием в ходе расследования стало то, что хакер использовал скомпилированный скрипт на Python для извлечения платежной информации из базы данных организации-жертвы и сохранения ее в CSV-файле для последующей фильтрации. Несмотря на эволюционирующие методы, используемые хакерами, их методология оставалась в соответствии с предыдущими кампаниями, подчеркивая важность своевременного устранения уязвимостей и бдительных методов обеспечения кибербезопасности.

Благодаря согласованию аналитических данных об угрозах и совместному использованию индикаторов компрометации (IOCs) организации могут лучше защищаться от постоянных угроз, таких как бесшумный скиммер. Palo Alto Networks в сотрудничестве с Альянсом по борьбе с киберугрозами (CTA) распространяет информацию об угрозах для усиления мер кибербезопасности в отрасли. Используя передовые решения в области безопасности, организации могут активно защищать свои системы от возникающих киберугроз.

#ParsedReport #CompletenessLow
10-11-2024

Malware Steals Account Credentials

https://blog.sucuri.net/2024/11/malware-steals-account-credentials.html

Report completeness: Low

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1059, T1001, T1056, T1078

Soft:
LastPass, CPanel, Linux

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте рассказывается о том, как вредоносные программы атакуют сайты электронной коммерции с целью кражи данных кредитных карт, а злоумышленники выходят за рамки кражи данных учетной записи клиента и учетных данных администратора. Рассматривается инцидент, связанный с сильно запутанным вредоносным ПО, адаптированным для конкретного сайта электронной коммерции, демонстрирующий использование имен случайных величин и функций в шестнадцатеричном коде для обфускации. Вредоносный скрипт был нацелен на извлечение данных из форм оформления заказа и был связан с доменом, известным своей вредоносной программой. Целью злоумышленников было получить данные для входа в систему администратора, что позволило бы им манипулировать сайтом и использовать его в дальнейшем. В тексте также кратко упоминается Мэтт, аналитик по кибербезопасности, и его роль в Sucuri.
-----

Сайты электронной коммерции часто становятся мишенью вредоносных программ, которые пытаются украсть данные кредитной карты, используя скрипты для извлечения данных из форм оформления заказа. Злоумышленники используют такие поля, как имя владельца карты, номер карты и срок ее действия, для незаконных целей, таких как продажа на черном рынке. Однако в некоторых случаях злоумышленники используют не только данные кредитной карты, но и крадут данные учетной записи клиента и учетные данные администратора. Был зафиксирован такой случай, когда вредоносное ПО с сильно запутанным программным обеспечением было разработано специально для целевого сайта электронной коммерции.

Вредоносный скрипт использовал переменные с произвольными именами и шестнадцатеричные имена функций для обфускации. В конце скрипта присутствовала функция для перебора значений массива форм. Скрипт был связан с доменом, известным своей вредоносной программой, размещенной рядом с доменами, связанными с учетной записью клиента и кражей кредитных карт. Примечательно, что это вредоносное ПО было разработано специально для внедренного сайта и выполняло поиск определенных переменных в форме входа. Как только злоумышленники получали данные для входа в систему администратора, они могли манипулировать дизайном сайта, устанавливать вредоносные модули или изменять настройки платежного шлюза для дальнейшего использования.

Мэтт, аналитик по кибербезопасности в Sucuri с 2018 года, обладает обширным опытом работы с серверами Linux и Windows. Его роль заключается в выявлении и удалении вредоносных программ для веб-сайтов и отслеживании новых тенденций в области вредоносных атак. Помимо работы, Мэтт занимается созданием музыки или ухаживает за своим садом.

#ParsedReport #CompletenessHigh
09-11-2024

Mozi Resurfaces as Androxgh0st Botnet: Unraveling The Latest Exploitation Wave

https://www.cloudsek.com/blog/mozi-resurfaces-as-androxgh0st-botnet-unraveling-the-latest-exploitation-wave

Report completeness: High

Threats:
Mozi
Androxgh0st
Webadmin_tool
Netstat_tool

Industry:
Iot

Geo:
Jamaica, China, Chinese, Albania, India

CVEs:
CVE-2018-15133 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- laravel (le5.5.40, le5.6.29)

CVE-2014-2120 [Vulners]
CVSS V3.1: 4.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive security appliance software (-)

CVE-2021-41773 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http server (2.4.49)

CVE-2021-41277 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- metabase (0.40.0, 0.40.1, 0.40.2, 0.40.3, 0.40.4)

CVE-2018-10562 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2021-26086 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian jira data center (<8.5.14, <8.13.6, <8.16.1)
- atlassian jira server (<8.5.14, <8.13.6, <8.16.1)

CVE-2022-21587 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle e-business suite (le12.2.11)

CVE-2018-10561 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dasannetworks gpon router firmware (-)

CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit project phpunit (le4.8.27, <5.6.3)

CVE-2023-1389 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- tp-link archer ax21 firmware (<1.1.4)

CVE-2024-4577 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<8.1.29, <8.2.20, <8.3.8)

CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)

CVE-2022-1040 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sophos sfos (le18.5.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1078, T1210, T1505, T1071

IOCs:
File: 4
Url: 2
IP: 7
Domain: 1
Hash: 16

Soft:
Laravel, Metabase, Wordpress, curl, crontab

Algorithms:
md5, exhibit

Functions:
move_uploaded_file

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в развитии угрозы, исходящей от ботнета Androxgh0st, его сотрудничестве с ботнетом Mozi и рекомендуемых превентивных мерах кибербезопасности для снижения рисков, связанных с этими сложными ботнетами.
-----

Ботнет Androxgh0st, представляющий серьезную угрозу, выявленную исследовательской группой CloudSEK, активно использует многочисленные уязвимости с января 2024 года. Примечательно, что недавние данные указывают на потенциальное сотрудничество с ботнетом Mozi, расширяющим свой охват за пределы веб-серверов и включающим устройства Интернета вещей. Ботнет нацелен на различные технологии, такие как Cisco ASA, Atlassian JIRA и PHP-фреймворки, используя уязвимости для получения несанкционированного доступа и выполнения удаленных команд. В ответ на растущие угрозы, исходящие от Androxgh0st, CloudSEK рекомендует немедленно устранить выявленные уязвимости, чтобы снизить риски, связанные с этим сложным ботнетом.

Было замечено, что ботнет Androxgh0st использует CVE-2023-1389 и CVE-2024-36401, уделяя особое внимание таким тактикам, как использование уязвимостей PHP в PHPUnit, нацеливание на фреймворки Laravel и использование уязвимостей веб-сервера Apache. Эти методы позволяют хакерам получать доступ через черный ход, красть учетные данные и удаленно выполнять произвольный код, что потенциально может привести к компрометации конфиденциальных данных и учетных данных с правами доступа. Это подчеркивает эволюционный характер тактики ботнета и необходимость принятия упреждающих мер кибербезопасности для защиты от таких атак.

Кроме того, ботнет Mozi, который имел значительное присутствие в Китае, Индии и Албании, был нацелен на устройства Интернета вещей и маршрутизаторы, прежде чем был взломан китайскими правоохранительными органами в 2021 году. Несмотря на это вмешательство, остатки ботнета Mozi все еще сохраняются, что подчеркивает постоянную угрозу, создаваемую ботнетами. Интеграция полезной нагрузки Mozi в Androxgh0st указывает на потенциальное сотрудничество между двумя ботнетами, совместное использование инфраструктуры и тактик заражения, таких как внедрение команд, утечка учетных данных и использование уязвимостей, связанных с IoT.

В рамках инициативы CloudSEK TRIAD ведется активная работа по выявлению вредоносной инфраструктуры, связанной с ботнетом Androxgh0st, выявляя неправильно настроенные серверы ведения журнала и управления, используемые агентами ботнета. Анализ сообщений и веб-запросов, регистрируемых на этих серверах, позволяет получить представление об уязвимостях, используемых ботнетом, что способствует разработке упреждающих стратегий устранения угроз. Кроме того, конкретные признаки компрометации, такие как подозрительные HTTP-запросы и необычные попытки входа в систему, выделяются в качестве ключевых признаков вредоносной деятельности Androxgh0st, призывая организации сохранять бдительность и принимать соответствующие защитные меры.

Для борьбы с растущей угрозой, исходящей от Androxgh0st, и потенциальным сотрудничеством с Mozi организациям рекомендуется отслеживать подозрительные процессы, проверять критически важные каталоги на наличие вредоносной полезной нагрузки и тщательно проверять сетевые подключения на наличие признаков активности ботнета. Регулярное обновление встроенного ПО и программного обеспечения, проведение проверок целостности файлов и внедрение средств обнаружения конечных точек и реагирования на них являются важными шагами для обнаружения и предотвращения заражения Androxgh0st. Кроме того, постоянная оценка уязвимостей, мониторинг несанкционированных изменений настроек брандмауэра и аудит системных журналов на предмет выявления вредоносных действий являются важными методами повышения устойчивости кибербезопасности к изощренным атакам ботнетов.

#ParsedReport #CompletenessMedium
09-11-2024

WISH STEALER

https://www.cyfirma.com/research/wish-stealer

Report completeness: Medium

Threats:
Wish_stealer
Antidebugging_technique
Dll_sideloading_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 5
Hash: 1

Soft:
Discord, Chromium, Centbrowser, 360browser, Node.js

Wallets:
tron, metamask, exodus_wallet, coinbase, tokenpocket

Crypto:
bitcoin, ethereum, litecoin, binance

Algorithms:
zip, md5

Functions:
Get-Clipboard, Set-Clipboard, getWallets, getExtension

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 11, table: 1, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная идея текста заключается в том, что CYFIRMA выявила новую сложную вредоносную программу под названием "Wish Stealer", предназначенную для пользователей Windows с целью кражи конфиденциальной информации с помощью различных передовых методов и функциональных возможностей. Вредоносное ПО активно распространяется хакерами на таких платформах, как Discord, создавая значительный риск для организаций и пользователей, что требует принятия усиленных мер безопасности для снижения этих рисков в условиях меняющейся среды кибербезопасности.
-----

Недавно CYFIRMA обнаружила новую киберугрозу под названием "Wish Stealer", которая представляет собой сложную вредоносную программу на базе Node.js, предназначенную для пользователей Windows. Эта вредоносная программа предназначена для кражи конфиденциальной информации из различных источников, включая Discord, веб-браузеры, криптовалютные кошельки и аккаунты в социальных сетях. Wish Stealer использует передовые методы, такие как перехват сеанса, повышение привилегий и манипуляции с буфером обмена, для извлечения учетных данных для входа в систему, файлов cookie, данных кредитной карты и других персональных данных из целевых систем.

Вредоносная программа обладает множеством функциональных возможностей, таких как скрытие своей консоли, кража паролей браузера, манипулирование файлами cookie, замена адресов криптовалютных кошельков в буфере обмена адресом злоумышленника и эксфильтрация данных на основе определенных ключевых слов. Он постоянно отслеживает адреса криптовалюты в буфере обмена жертвы и изменяет их в интересах злоумышленника. Wish Stealer также нацелен на браузеры на базе Chromium, учетные данные в социальных сетях и конфиденциальные документы на основе предопределенных ключевых слов. Чтобы обеспечить сохранность в зараженных системах, он копирует себя в замаскированный каталог, добавляет записи в реестр и скрывает свои атрибуты, чтобы избежать обнаружения.

Кроме того, украденные данные упаковываются в сжатый файл с именем "wish.zip" и загружаются на удаленный сервер с использованием gofile.io API, а ссылка на скачивание предоставляется на сервере Discord злоумышленника. В ходе тестирования исследователи смогли сгенерировать ZIP-файл, содержащий конфиденциальные данные и системную информацию, запустив Node.js локальный сервер, что подчеркивает способность вредоносного ПО извлекать личную информацию, такую как номера телефонов и адреса электронной почты, особенно связанную с учетными записями Discord, с помощью вредоносных JavaScript-инъекций.

Расследования показали, что Wish Stealer впервые появился в сети Surface в октябре 2024 года, а активная хакерская группа в Discord продвигала его продажу. Эта группа, известная как "Aurita Stealer", инициировала обсуждение Wish Stealer в конце сентября 2024 года, что указывает на продолжающуюся активность, связанную с этим вредоносным ПО.

Меняющийся ландшафт кибербезопасности требует от пользователей и организаций постоянной бдительности в отношении новых угроз, таких как Wish Stealer. Его способность обходить меры безопасности, отключать антивирусное программное обеспечение и обходить механизмы двухфакторной аутентификации представляет значительный риск. Учитывая его продвижение хакерами и активные каналы распространения на таких платформах, как Discord, организациям настоятельно рекомендуется усилить свои меры безопасности, чтобы снизить риски, связанные с такими сложными видами вредоносных программ.

#ParsedReport #CompletenessMedium
09-11-2024

New Campaign Uses Remcos RAT to Exploit Victims

https://www.fortinet.com/blog/threat-research/new-campaign-uses-remcos-rat-to-exploit-victims

Report completeness: Medium

Threats:
Remcos_rat
Process_hollowing_technique

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows 7 (-)
- microsoft windows server 2008 (-, r2)
- microsoft windows server 2012 (-)
- microsoft windows vista (-)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1203, T1059.001, T1140, T1055.012, T1547.001, T1105, T1027, T1057

IOCs:
File: 7
Url: 6
Path: 1
Registry: 2
IP: 2
Hash: 6

Soft:
Microsoft Office, WordPad

Algorithms:
sha256, base64

Functions:
URLDownloadToFile, MemoryCopy, ZwSetInformationThread, ZwQueryInformationProcess, CreateProcessInternalW, CreateProcessInternal, ZwCreateSection, NtResumeThread, NtCreateThreadEx

Win API:
CreateProcessW, VirtualAlloc, CallWindowProcA, NtAllocateVirtualMemory, NtMapViewOfSection, NtGetContextThread, NtSetContextThread, ShellExecuteW, InternetOpenA, InternetOpenUrlA, have more...

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, dump: 8, code: 4, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В тексте обсуждается фишинговая кампания, использующая уязвимость CVE-2017-0199 для распространения нового варианта Remcos RAT. В нем описывается процесс доставки, методы выполнения, функциональные возможности и методы антианализа вредоносного кода, подчеркивая сложный характер атаки.
-----

В тексте описывается фишинговая кампания, которая использует уязвимость CVE-2017-0199 для распространения нового варианта Remcos RAT. Кампания начинается с фишингового электронного письма, содержащего вредоносный документ Excel, замаскированный под файл заказа. Когда получатель открывает файл, уязвимость используется для загрузки HTA-файла и его выполнения, инициируя доставку Remco.

Вредоносный код в документе Excel маскируется с помощью различных языков сценариев и методов кодирования, чтобы избежать обнаружения. Он загружает исполняемый файл, dllhost.exe и запускает код PowerShell, чтобы обеспечить сохранение на устройстве жертвы. Код PowerShell скрывается в фоновом режиме, загружает вредоносный код из извлеченных файлов и выполняет его в памяти с использованием методов антианализа.

Вредоносный код выполняет блокировку процесса, чтобы запустить себя во вновь созданном процессе, Vaccinerende.exe скопированном из dllhost.exe. Он поддерживает постоянство, добавляя элемент автоматического запуска в системный реестр, и загружает зашифрованную полезную нагрузку Remcos с URL-адреса, размещая ее непосредственно в памяти в виде файлового варианта. Вариант Remcos инициализируется блоком настроек, содержащим настройки, которые определяют его работу на устройстве жертвы, включая связь с сервером C&C и включение различных функций, таких как кейлоггер, скриншот и запись аудио.

После регистрации на сервере C&C Remcos получает управляющие команды для выполнения задач на устройстве жертвы. Эти команды позволяют Remcos собирать такую информацию, как списки запущенных процессов, сведения о системе и названия активных программ. В тексте подробно описывается процесс обмена данными между Remcos и его C&C-сервером и объясняются функциональные возможности, которые он может выполнять на устройстве жертвы на основе полученных команд.

Таким образом, проведенный анализ позволяет получить представление о доставке, исполнении и функциональных возможностях варианта Remcos RAT, использованного в фишинговой кампании. В нем описываются методы, используемые для того, чтобы избежать обнаружения, обеспечить сохраняемость, связаться с сервером управления и выполнения команд на устройстве жертвы, а также подчеркивается сложная природа вредоносного кода и меры по предотвращению его анализа.

#ParsedReport #CompletenessHigh
09-11-2024

Breaking Down Earth Estries' Persistent TTPs in Prolonged Cyber Operations. Summary

https://www.trendmicro.com/en_us/research/24/k/breaking-down-earth-estries-persistent-ttps-in-prolonged-cyber-o.html

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Threats:
Zingdoor
Deed_rat
Trillclient
Hemigate
Crowdoor
Cobalt_strike
Portscan_tool
Ninjacopy_tool
Credential_harvesting_technique
Chinachopper
Dll_sideloading_technique
Shadowpad
Dnstunnelling_technique
Credential_dumping_technique
Fuxosdoor
Cryptmerlin
Merlin_tool
Browstheft
Draculoader
Sspdump_tool

Industry:
Government

TTPs:
Tactics: 8
Technics: 23

IOCs:
Command: 16
Path: 17
File: 37
Url: 5
Hash: 28
Domain: 11
IP: 1

Soft:
Microsoft Exchange, PsExec, cURL, Microsoft Exchange server, Active Directory, Gmail, Windows Defender, Windows Service

Algorithms:
base64, sha256, exhibit, xor

Functions:
Get-ChildItem

Win API:
CreateDirectory

Win Services:
Tomcat6

Languages:
golang, powershell

Platforms:
x86

Links:
https://github.com/Ne0nd0g/merlin-agent